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Autenticação local vs. autenticação centralizada 



O controlo de acesso a recursos informáticos ê habitualmente realizado por um 
pr0CCSB0 de autenticação, em que tão verifica law as credenciais de aces». dos 
qua ih o ace»*:i por uscmame/passwoivi v o mais generalizado 

Outrossistcmasdc autenticarão, nomeadamente os ba»*aclosem cliaws privadas^ 
são mais seguros mas apimentam requisit»»* de utilização mais complexos 

Originalmente, as credenciais de nuwi (em lexln original ou cifradas) estavam 
simplesmente depositadas num ficheiro local na máquina de aresa 

Com a multiplicação de diferentes pontos de acesa? a recur**** por parte de 
um mesmo utilizador, a replicação dos ficheiros de credenciais pelas diversas 
maquinas tornava-w inviável 

O pi >toi * -In liAI 'i 1 S sui^iu ["In n<*< «*widad^ de ■.. instruir uma infra-esl ruturs 
centralizada de autenticação, adequada a ambientas de accau dislrihuidos. s?p- 
arandu »iS reeur» <s da ínt*' de autontkaçiíi* 
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Caraetcritfticas dos sistemas RADIUS 



Modelo cliente / servidor 

Pdfflíbilidade de operação em modo proxy, permitindo construir urna hierarquia 
d'* autenticação. 

Suporto do diferentes tipas de autenticação 

Ah mensagens sã<» constituídas por atxíbutoB, comprimento e valor, permitindo 

Dsim a extensão do protocolo corn novos atributos. 
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Sistemas AAA 



O protocolo RADM/S bem MO apenas 1 1 * objectivo de autenUcaçãu. mas o »nslitni um 
sistema completo de AAA - Authentication. Authorization and Accounting 



Ante Jit ícaçaoí Garantia de identically <1«» utilizador 

Autorização; PcrmissSO dc B< »w * a> »s nvur» »s *1is|>i «nn^ãs 
Aeo nintijí R^itrti • • U* i+w""^ <* o intnhiliznçfii t de tráfcs ' 
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Princípio de funcionamento 



cliente obtém as credenciais do utilizador 

O clionte cria uma trama "Acce*w-Request" que inclui n« credent ia is, e a identi- 
ficai; no do porto/serviço de acesas. 

— Se não houver resposta num dado período de tempo, a (rama è enviada 
n< «vãmente. 

< * servidor RADIUS recebe o pedido e verifico as credenciais do utilizador e, 

opcionalmente, pode consultar uma base de dados de perniK&iôes para veriKear 
M 1 ■ * utilizador tem peimOBQO para aceder a» » recurso. 

— O servidor pode consultar outros servidores, funcionando neste caro como 
cliente. Este » ; »» m-ideln normalmente desi^nadn pi. .ir pivxy-radiuà. 

— O servidor pode responder de três formas: 

* Access- Reject 

* Access- Aece pt 

* Aeci«B-Cluillenge 

O senador envia urn desafio adicional ao cliente para autenticação. 
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Transporte: IJDP 



Justificarão (original*,.) 

— Oí^ginaiincnte dcsenhadi' para nuMoyo»in poiici:*H erros 

— Maior fluidez iie mensagens 

— S»4** rài • niiiK rápida de um servidor alternative 

— Handshaking incluído no protocolo 

— Mn Mr í:itiIkla(^t-|omipt>rtar tt)lKH-a^V«miilliphw no servidor de nutenliairn. » 
( threads independentes). 
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UDP. hlbh- 



VisiVi ;u tual 

— A utilização de RADIUS cm ineios snn fios T onde jis peidas de pacotes são 
mai*T>\s. questionam a aproximarão UDP. 

— A utilização do UDP cm hierarquias de autenticação mais complexas conduz 
latem a mais problemas, devido a possibilidade d** nusenein de respostas do 
«rvidores intormodww 

— < > maiur debito da» ligações e as facilidades de software exotontes mitigam 
muitos dos argumentos originais a favor da RADIUS. 

"Recentemente (Junho de 2007). foi propyl*» um draft no IETF o protr- 
colo RÀDSEC. que propõe o envio do pat/load RADIUS txibre uma ligação 
TCP+TLS. de modo a garantir um transporte auguro c sobre urna ramada 
d»? transporte mais fiável. 
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Formato íImh tramas RADIUS 
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O »de - Um octeto com o código coroando/iCBposta do RADIUS 

— accesí-roíjiiivL (iliente ^servidor). Pedido de a» esta». Respostas possíveis: 

* access-accept, (servidor — cliente) OK 

* access-reject (servidor — rclicmte) Rejeição 

* accets-chaUeiige. (servidor — *thento). respotfln em que *» servidor espera 
uma resposta do cliente em apaulada num acess> request 

* «rn »ufitui£ request, (client-,, server), a* rnunting response (servidi*r- (t cliente) 

— [dentifiei - Associação entre pedidos e respostas 

— Comprimento do camp-» (2 it(ietus) 

— Authenticates - Valor usado para autenticar a resposta e usado igualmente 

no al# ir it mi »s 'I* 1 verificaçã i das ciedcncittia 

— Attributes - Os dados do comando ou resposta. 
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Autenticarão 



Na sua forma maus simples, *» liADM/S pude usar uma hiwe do dadi»s l* uni do 
utilizadores o crodenc mia para verificaç* • da identidade 

Hoje em dia, a componente < 1> * autenticação de liADIUSê frequentemente dele- 
gada num sistema mais abrangente de autenticação 

- LDAP (Light Weight Directory Protocol) 

* Sistema fie direi l/»ri»i em «pi» 4 sã* ■ resist ;ul< ^ várinK atribui» « >!■ ■ utilizai.li »r 
(desde o nome, número de aluno, tviuail, morada, telefone), e em que o 
aces»} a estes Atributos é regulado por politicas de neon» »♦ 

— Kerberos 

* Autenticarão forte 

- iDAP+Kwberoa 

* Sistema fie autenticação baseado em LDAP mas em que este delega, por 
sua vez. a aulenti» -aenu num sistema Kerberi»s. 

— ApcHiir da existência de outros sistemas de autenticação, O RADIUS é fre- 
quentemente usa»!»* pe]i_» suporte nativ" que tem d»* relish <s do accounting. 
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Accounting 

• <) sistema cle accounting do RADIUS permite o controlo o registo detalhado 
da utilização dos rccurBDfi cie rede pO* parte dou clientes, s?ndo por iehu o modo 
preferido de contabilização e registo de reenra» por parte dos operadores 

• No início da semão* e apôs a autenticação * o cliente envia para o servidor uma 

mensagem de Accounting-Request, com opção START. 

— Ao receiver esta niRg. o «ervidor regista o utilizador, a data/hora de inft i- * de 
Htwtão, e alguns parâmetros adicionais que tenham sido enviados pelo cliente: 

— O a??rvii.K*r deve responder a ente peilid.* tom uma mensagem Accounthig- 
Responae 

• Ni * final iln j-vssã* '.!** liente envia para o servidor uma mensagem de Accounting- 
Request, com opção STOP. 

— Ao reedier esta iusg T o servidor regista a data/hora de fim da wwão. e alguns 
parâmetros adie v mais due tenham sido enviBdos pelo cliente (tempo, trufeg» ». 
etc) 

— () j4Mviil»ir deve responder a este pedido COm uma mensagem Accounting- 
Response 
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Arca» RADIUS 
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Nota; o protocolo inicial Acce6B-Ret3Ueat/ÁeC€B9-Accept pode ser duplicado ca»:i o 
protocolo do autenticarão é challenge/response 
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Atributos de accounting 



As mensagens de accounting incluem geralmente listas de atributos que podem 
Her nurninlizuiltw mu espr» ilibas do fabricante 

— Nesto último caflD. o 8MVid<»r de RADIUS dwp«V riurmalinente do um di- 
cionario de códigos de atributos que permite identifk ;u OH n tributos? regista- 
be de formn legível 
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Atributos RADIUS 



O» atributos RADIUS são constituídas por um um hipk> (código, conipiimento. 
valor). Uma mensagem \>n]v nuluir um ou mau atrihututf. 



Type 
Length 






Value 







|~|= 1 byte 

Existo um o^Ii^i » i.wpí" # <:'wl í\\v? por mito n* *í í» inu*LL*i|*.*rrt«ilo ixjuipnuiiMitM incluírem 
informarão adiciona] e Específica do equipamento* 



Type 
Length 
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□ = 1 byte 
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UADH/Sr- 8(12 iX 



• O protocolo RADIUS ê normalmente utilizado como suporte de autenticação na 
norma 80'llX 

• O protocolo 8(12. IX permite que o ncea» «o nível 2 da rede (em switths ou pontos 
de ao.*»** sem fi"s) t*» »*ja ulitidi* apôs urna autenticação liem sucedida, 

ix No pio toco Io 802. IX são normalmente identificados três intervenientes 

— Supplicant - Terminal remoto que pretende accaKi ao meio 

— Authenticator - Equipniueutn de rede que pretende autenticar terminal 
remoto e que funciona como cliente do do servidor de autenticação. 

— Authentication Server- Servidor de autenticação (normalmente RADIUS) 

• ÀUtGfl d* i anient^ iidur d&I permitir acetao complel» » de nível 2 ao terminal, tr< -ca 
mensagens < um est»* que sã», posterior mente encapsuladas n<> pn>too»lo RADIUS 

• Na faHedeautenticaçãi > t • » equipa rnenh ide rede limita-se B ene iipsiilai/deHMU-apsular 
tr anuis que de facto têm origem c destino o terminal remoto, 

• Quando a autenticação c liem sucedida, e o auten! icador que recebe a mensagem 
do Accotfri-Au ejit e viabiliza SCC8B0 à rede. 
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SD21X c segurança 



Uma das caratterístiens ruiu laiuoiitaiH t K ■ protocolo 802.1X ê que a autenticação 
EAP circula de modo cifrado entre o terminal remoto C O BWVTdoJ, s*ni inter- 
venção do autenticados 

Apesar do autenticado! encapsular os pacote» EAP corn RADIUS, não ha qual- 
quer inforiiinção c|iu* possa ser retirada relativa às credenciais do utilizador 

meamo sucede no cbbd de existirem sistema proxy do RADIUS de permeio. As 

mensagens são encaminhadas ale ao servidor de destina a*rn qualquer e vice- versa 
st* in quebra de confident ialidado n«»H i[i« intermédios 
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RADIUS r 802. IX 
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Exemplos de legislou RADIUS de account: START record, rede WiFi do 1ST 



Tue Sep 27 14:20:02 2005 

Acct-Session-Id = "00002E77" 
Called-Station-Id = "OOOf .3446 .8c60" 
Calling-Station- Id = "0011 . 2492 . Oaf 6" 
Cisco-AVPair = "ssid=e-U" 

Cisco-AVPair = "nas-location=unspecif ied" 
User-Name = "anonymousfcr" 
Acct-Status-Type = Start 
NAS-Port-Type = Wireless-802 . 11 
Cisco-NAS-Port = "11168" 
NAS-Port = 11168 
Service-Type = Framed-Uaer 
NAS-IP-Address = 10.0.1.7 
Acct-Delay-Time = 

Client-IP-Address = 193.136.128.19 
Acct-Unique-Session-Id = "1375ba30ea90779b" 
Timestamp = 1127827202 
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Exemplos de legistas RADIUS de account: STOP record, rede WiFi do 1ST 



Tue Sep 27 14:34:31 2005 

Acct-Session-Id = "00002E77 11 
Called-Station-Id = "000f .3446 ,8c60" 
Calling-Station- Id = n 0011 . 2492 . Oaf 6" 
Cisco-AVPair = "ssid=e-U" 

Cisco-AVPair = "nas-location=unspeci£ied" 
Cisco-AVPair = "vlan-id=230" 
Cisco-AVPair = n auth-algo-type^eap-peap 11 
User-Name = " anonymous f cr n 

Cisco-AVPair = n connect-progress=Call Up" 
Acct-Sess ion-Time = 868 
Acct-Input-Octets = 136092 
Acct-Output-Octets ■ 4103486 
Acct-Input-Packets - 1003 
Acct-Output-Packets = 3108 
Acct-Terminate-Cause = Lost-Carrier 
Cisco-AVPair = "disc-cause-ext=No Reason" 
Acct-S tatus- Type = Stop 
NAS-Port-Type = Wireless-802 . 11 
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Cisco-NAS-Port = "11168" 

NAS-Port ■ 11168 
Service-Type = Fraraed-User 

KAS-IP-Address = 10.0.1.7 

Accfc-De lay-Time = 

Client-IP-Address = 193.136.128.19 

Acct-Unique-Session-Id = -1375ba30ea90779b" 

Timestamp = 1127828071 
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